AdAware "Trojan.Win32.FakeVimes.ge"
 

Schönen Abend zusammen!

Würde dringend eure Hilfe bei einem Problem brauchen, welches sich folgendermaßen darstellt:

1)PC braucht ewig lang zum Hochfahren (allein 2 Min. beim Wdws XP-Logo)
2) Wenn dann Desktop endlich ersichtlich ist, dauerts nochmals 5 Min. bis man halbwegs was arbeiten kann. Währen dieser Zeit liegt die CPU-Auslastung bei 40-80 %. (obwohl von mir nichts gestartet wurde)

Habe einige Scans mit den verschiedensten Programmen durchgeführt – wobei mir der Fund von AdAware am bedeutendsten erscheint: „Trojan.Win32.FakeVimes.gen“. Bin jetzt soweit, dass die Virenprogramme Nichts mehr finden, System aber trotzdem noch seeeehr langsam ist.
Seid bitte gnädig zu mir,da ich kein PC-Spezialist bin. Um mich ein wenig aufzuwärmen, habe ich schon OTL.txt und EXTRAS.txt angehängt.
Gmer hat beim Starten vom Scan Fehlermeldungen angezeigt und keine Log-Gatei geliefert.

Schön und wo sind die Logs dazu? :confused:

Solche Angaben reichen nicht, bitte poste die vollständigen Angaben/Logs der Virenscanner.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Hallo!

Sorry, wusste nicht genau was ihr benötigt.


Log von AdAware - selbst zusammengefasst, weil ich keine txt-Datei gefunden habe :wtf:

Logs von Malwarebytes

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Toll!
Nichts gefunden. Weiß jetzt nicht, ob ich begeistert oder enttäuscht sein soll.
Der PC arbeitet auf jeden Fall nicht normal. In Summe braucht er beim Hochfahren ca. 10 Min., bis man halbwegs arbeiten kann.
-Boot Sequenz: relativ schnell, danach wird’s langsam
-Wdws Logo
-schwarzer Bildschirm mit Mauszeiger
-Desktop ohne Ordner und Dateien (nur Hintergrundbild)
-Desktop mit Ordner und Dateien
-ab hier arbeitet die CPU dann auf Hochtouren und braucht ewig, bis man Programme starten kann, die dann aber auch wieder auf sich warten lassen.

Außerdem werden Dateien von Adobe Photoshop am Desktop (ich glaube es handelt sich um psd-Dateien) bei jedem Start anders dargestellt. (verschiedenste Symbole)

Druckaufträge werden selten bis gar nicht an den Drucker weitergeleitet.

Weitere Vorschläge?!
Soll ich Logs, die nichts ergeben haben auch posten?
Hardware Problem?

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Hallo!

Habe gerade versucht ESET zu starten. Nachdem ich Start-Button gedrückt habe wird Installation bei 4% abgebrochen mit der Fehlermeldung
"Can not get update. Is proxy cofigured?"

Die oben beschriebenen Voraussetzungen sind erfüllt.

Bitte prüfen


Falsche Proxy Einstellungen entfernen

• Klicke im Start-Menü unter "Einstellungen" auf "Systemsteuerung" -> "Internetoptionen".
• Wähle die Karteikarte "Verbindungen->Lan-Einstellungen“ und überprüfe ob bei Proxyserver ein Häkchen steht,
  wenn ja -> Entfernen, dann -> OK (sofern nicht richtige Eintragung)

Kästchen "Proxyserever für Lan verwenden" war nicht angekreuzt. (auch kein Eintrag).

Hab' in der Zwischenzeit wiedereinmal Qickscan mit Malwarebytes und AdAware gemacht.
Malwarebytes - kein Fund
AdAware - wie gehabt (Endungen klein wenig anders)
Vielleicht noch etwas von Interesse:
Bei der Reinigungsoption in AdAware habe ich „Quarantäne“ ausgewählt.
System fängt kurz mit der Aktion an und bleibt aber dann stehen bei -->
Reinigung: C:\WINDOWS\system32\drivers\78edf8e8d34ecce2.sys

Adaware kannst du vergessen!
ESET probieren wir später nochmal

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

Habe Programm versehentlich zwei mal laufen lassen!

Hier das erste Log:

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Sx].txt. (x=fortlaufende Nummer)

Hallo!

Spät aber doch das Log.
Hallo!

ESET online scanner habe ich auch zum Laufen gebracht!

Hätte da mal zwei Fragen bevor es weiter geht (wir sind noch nicht fertig!)

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Zu Frage 1)
Eigentlich arbeite ich ganze Zeit im normalen Modus. An sich verhält sich das System ziemlich normal, außer beim Hochfahren. Danach kann ich mit dem PC arbeiten. Ich als Laie würde sagen, dass sich der Virus, Trojaner - was auch immer - bei jedem Sart neu ins System lädt.

Zu Frage 2)
Nein, ich vermisse nichts. Alle Ordenr, Programme und Dateien soweit vorhanden.

Außerdem habe ich in der Zwischenzeit wiedereinmal eine andere Logdatei mit A-Squared erstellt. (10 spuren gefunden)

Mach bitte einen CustomScan mit OTL . Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:


Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

OTL Logfile:
--- --- ---
[/code]

Ist das rein zufällig ein Büro-/Firmen-PC? Oder ein Uni-Rechner?

Ich weiß zwar nicht wie du das aus den zwei oben genannten Zeilen erkennst, aber ich kann die Frage mit "nein" beantworten. Sitze hier zu Hause in meiner Verzweiflung und warte auf jede Anweisung von dir,wie auf einen Bissen Brot. Also ich kann dir versichern, dass es sich um einen privaten PC handelt, den mir ein Ex-Arbeitskollege vor ca. 3 1/2 Jahren zusammengestellt hat.

1. Eine Professional Edition für zu Hause haben die wenigsten und wenn sie es haben brauchen die allerwenigsten wirklich diese Edition - sie ist für ein Firmennetzwerk mit Windows-Domäne gedacht!

2. DhcpNameServer = 10.0.0.138 10.0.0.138 - DHCP-Server steht in einem 10er-Subnet? Private 10er Segmente sieht man privat auch eher selten bis garnicht.

Und Windows hat er dir gleich mit installiert?

Korrekt.
PC wurde aus Einzelkomponenten zusammengestellt. Wdws war schon vorinstalliert. Woher das mit dem DhcpNameServer = 10.0.0.138 kommt, kann ich dir leider nicht sagen.
Möglicherweise ist es vom Provider (A1 Telekom Austria)abhängig, der mir übrigens auch schon eine Email geschickt hat, dass von meinem Computer unerwünschte SPAM-Mails ausgesendet wurden.
Möchte mich auf jeden Fall an dieser Stelle sehr herzlich bei dir bedanken für die spitzen Betreuung. :abklatsch:

Was für eine Windows-Version hat er dir denn installiert?
Ich will dir jetzt keinen Raubkopierei unterstellen, du hast ja Windows nicht selbst installiert, nur ist die Gefahr bei Versionen aus dem Untergrund hoch, dass da irgendeine Malware schon in die Installationsdateien reingepfriemelt wurde....

Wdws XP Professional Version 2002 damals glaube ich SP 2.
Nachdem das Programm jetzt knapp 3 1/2 Jahre ohne gröbere Probleme seinen Dienst getan hat, gehe ich nicht davon aus, dass Malware schon drauf war.
Sowie die Dinge nun stehen, schaut's offensichtlich so aus, als komme ich um eine Neuinstallation nicht herum. Hatte gehofft dem könnte ich Dank eurer Hilfe entgehen.

Trotzdem nochmals Danke für die Unterstützung.

Nein wir machen weiter ;)

Beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo cosinus!
Bin begeistert, dass ich weiterhin deine Unterstützung habe. :taenzer:
Finde ich echt toll.
Habe OTL-Runfix im normalen Modus ausgeführt (nicht im abgesicherten). Rechner wurde neu gestartet.
Schöne Grüße
Christian

Ok, eine Kontrolle bitte:

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Habe mir die Logs kurz durchgeschaut, wobei mir aufgefallen ist, dass im zweiten Log unter "System Events" Fehler angezeigt sind zu einem Zeitpunkt an dem der PC gar nicht aufgedreht war. Hat das irgend eine Bedeutung - kannst du was damit anfangen?

Log 1
OTL Logfile:
--- --- ---

[/code]

Log 2
OTL Logfile:
--- --- ---

[/code]

Keine Ahnung was das mit der falschen Zeit auf sich hat. Lief die Systemuhr vllt mal verkehrt oder irrst du dich gerade? um welche fraglichen Zeiten geht es denn?

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition ( meistens Laufwerk C: ) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtg4nzy0ywy5/settings_2012-09-04.png

Hi cosinus!

Die fraglichen Zeiten beziehen sich auf das zweite Log im vorangegangenen Posting ganz unten (System Events).
Error - 24.10.2012 13:55:29
Error - 24.10.2012 13:55:30
Error - 24.10.2012 13:55:30
Error - 24.10.2012 13:55:30 etc.
Der Dienst "MBAMSwissArmy" wurde aufgrund folgenden Fehlers nicht gestartet.

Ich habe doch nichts mit der SwissArmy am Hut?! :confused:
Weiß nur, dass ich den PC zu den obigen Zeiten sicherlich nicht an hatte.

KasperskyTDSSKiller hat während der Initialisierung bei 40% einer Fehlermeldung angezeigt:
„Can’t load driver“ --> habe ich mit o.k. bestätigt. San ist dann ohne Probleme durchgegengen.
Die Reparatur der zwei Funde habe ich mit „skip“ gecancelt.
Anbei das Log:
:eek: "Rootkit.Win32.Necurs.gen "
Das Ding dürfte ja laut Inet nicht ohne sein. Hoffe wir bekommen das hin.

Das ist einfach nur Malwarebytes :lach:

Diesen Eintrag bitte mit dem TDSS-Killer fixen. Aber bitte nur diesen Eintrag!

Um das zu tun musst du den TDSS-Killer neu starten und einen neuen Scan machen. Wenn du danach die Ergebnisse siehst, stellst du bitte diesen Eintrag auf CURE bzw. DELETE (je nachdem was dir angeboten wird, alle anderen bitte auf SKIP lassen! ) und klickst dann unten rechts auf continue

Starte Windows danach neu und mach wieder ein komplett neues Log mit dem TDSS-Killer. Wie immer wieder in CODE-Tags posten.

Hervorragend!!!

Dachte schon jetzt müssen wir auch noch gegen die neutrale Schweiz in den Krieg ziehen. :sword2: Dabei reicht mir schon der Kampf gegen meine Plagegeister am Rechner.
Win32.Necurs.gen deleted
TDSS-Killer Log:

Bitte nun Logs mit GMER (<<< klick für Anleitung) und aswMBR (Anleitung etwas weiter unten) erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim zweiten Mal nicht will, lass es einfach weg und führ nur aswMBR aus.

aswMBR-Download => aswMBR.exe - speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

GMER hat leider nicht funktioniert - zweimal fehlgeschlagen mitten im Scan. (blauer Bildschirm --> Reboot --> Hang Up)

aswMBR Log:

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Sieht gut aus. Eine Kontrolle bitte:

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Hallo cosinus!

Das Arbeiten mit dem Rechner wird langsam zermürbend. Zum Hochfahren 10 Minuten ist mir einfach zuviel. Eigentlich weiß ich bis jetzt nicht, ob ich ein Malware- oder ein Hardwareproblem habe. Die Festplatte rattert jedenfalls ohne Ende. Windows 7 DVD ist bereits unterwegs. Vorerst einmal eine großes :dankeschoen: von mir.

OTL Logfile:
--- --- ---

[/code]


OTL Logfile:
--- --- ---

[/code]

Hast du jetzt eh vor auf Windows7 umzusteigen?

Bleibt mir wohl nichts anderes übrig. Damit kann ich zumindest mal ein Softwareproblem ausschließen.
Zur Zeit friert der Rechner im Betrieb das Bild für 10 Sek. ein, Lüfter heult auf, danach funktioniert alles wieder normal. Nach 10 Min. wieder das gleiche Spiel. Festplatte rattert andauernd. RAM's habe ich schon einzeln überprüft - ohne Erfolg. :killpc:
Trotzdem vielen Dank für deine Hilfe - tolles Forum!